Acerca de la seguridad del servidor y los certificados SSL/TLS

Symantec Data Loss Prevention
usa Secure Socket Layer/Transport Layer Security (SSL/TLS) para cifrar todos los datos que se transmiten entre servidores. Además, usa el protocolo SSL/TLS para la autenticación mutua entre servidores. Los servidores implementan la autenticación por el uso obligatorio de los certificados del cliente y del servidor.
La aplicación web de la consola de administración de Enforce Server permite a los usuarios ver y administrar incidentes y políticas, así como configurar
Symantec Data Loss Prevention
. Se accede a esta interfaz con un navegador web. Enforce Server y el navegador se comunican con una conexión segura SSL/TLS. Para garantizar la confidencialidad, toda la comunicación entre Enforce Server y el navegador se cifra usando una clave simétrica. Durante la conexión de iniciación, Enforce Server y el navegador negocian el algoritmo de cifrado. La negociación incluye el algoritmo, el tamaño de la clave y la codificación, así como la clave de cifrado en sí.
Un certificado es un archivo de almacén de claves que se usa con una contraseña del almacén de claves. Los términos certificado y archivo de almacén de claves se utilizan a menudo indistintamente. De forma predeterminada, todas las conexiones entre los servidores de
Symantec Data Loss Prevention
y Enforce Server y el navegador usan un certificado autofirmado. Este certificado está incrustado de forma segura dentro del software de
Symantec Data Loss Prevention
. De forma predeterminada, cada servidor de
Symantec Data Loss Prevention
en cada instalación de cliente usa este mismo certificado.
Aunque la seguridad predeterminada existente cumpla con los estrictos estándares, Symantec proporciona las utilidades keytool y sslkeytool para mejorar la seguridad de cifrado:
  • La utilidad
    keytool
    genera un nuevo certificado para cifrar la comunicación entre el navegador web y Enforce Server. Este certificado es exclusivo de la instalación.
  • La utilidad
    sslkeytool
    genera nuevos certificados de servidor SSL para proteger las comunicaciones entre Enforce Server y los servidores de detección. Estos certificados son exclusivos de la instalación. Los nuevos certificados reemplazan al único certificado predeterminado que viene con todas las instalaciones de
    Symantec Data Loss Prevention
    . Se almacena un certificado en Enforce Server y un certificado en cada servidor de detección de la instalación.
    Symantec recomienda crear certificados dedicados para la comunicación con los servidores de
    Symantec Data Loss Prevention
    . Cuando se configura Enforce Server para usar un certificado generado, todos los servidores de detección de la instalación también deben usar certificados generados. No es posible usar el certificado integrado con algunos servidores de detección ni el certificado integrado con otros servidores.
    Si se instala un servidor de detección de
    Network Prevent
    en un entorno alojado, es necesario generar certificados únicos para los servidores de
    Symantec Data Loss Prevention
    . No es posible usar el certificado integrado para comunicarse con un servidor alojado de
    Network Prevent
    .
También puede necesitar proteger las comunicaciones entre los servidores de
Symantec Data Loss Prevention
y otros servidores, como aquellos usados por Active Directory o un agente de transferencia de correo (MTA).